資安一周第63期：PDF加密標準被發現有缺陷，無需密碼可取得加密文件內容，數十款PDF閱讀器都受影響

1003-1009一定要看的資安新聞

＃PDF漏洞　＃PDFex

PDF加密標準含有缺陷，可讓加密文件現形

圖片來源／web-in-security.blogspot.com

幾名德國的大學研究人員近日發表研究報告，指稱PDF的加密標準含有缺陷，將讓駭客得以取得加密文件內容，當中列出了Direct Exfiltration與CBC Gadgets兩種類型的攻擊形式，並說明他們了測試市面上的27款PDF閱讀程式，都至少會被其中一種攻陷，這些程式涵蓋了Adobe Acrobat、Foxit Reader、Okular、Evince、Nitro Reader，以及整合到Chrome、Firefox、Safari與Opera等瀏覽器的閱讀工具。而這些存在於PDF加密標準的缺陷，他們統稱為PDFex。更多內容

＃軟體安全　＃視訊會議密碼設定

視訊會議系統爆漏洞可讓外人偷聽，Cisco WebEx與Zoom都受影響

圖片來源／擷取自Cequence Security

根據安全廠商Cequence Security及CQ Prime的揭露，部分視訊會議工具有列舉攻擊漏洞，包括Cisco WebEx Meetings、Zoom，可讓攻擊者發現並加入線上會議，可能導致敏感資料外洩。
雖然視訊會議普遍都有讓會議主持人設定密碼的功能，讓與會者需要驗證才能加入。但最近，上述兩家資安業者揭露有自動化工具掃描視訊會議平臺API的活動，可從系統API呼叫的回應找出有效會議ID，以及是否需要密碼，並可加入未設密碼的會議。思科在收到通報後，認為這是設定問題，不是漏洞，但仍對用戶提出警告，Zoom則更新預設會議需設密碼。更多內容

＃網站安全　＃HTTPS 

Chrome將逐步封鎖HTTPS內嵌的HTTP下載內容

圖片來源／Google

對於網頁實行HTTPS加密的規定，Google宣布將更嚴格執行。從今年12月的Chrome79開始，為了安全，他們表示Chrome將逐步封鎖HTTPS網頁中，以HTTP下載的內容，包括影音及圖片檔、iFrame等，而在今年4月，他們即預告封鎖的內容，像是可執行檔及壓縮檔，在最新的公告下，Google宣佈這項方案即將於明年實施。更多內容
 

＃VPN安全

關於Pulse Secure、Palo Alto和Fortinet的VPN漏洞，英政府提出APT攻擊警訊與處置建議

圖片來源／擷取自NCSC（點圖放大）

英國國家網路安全中心（NCSC）發出警訊，提醒Pulse Secure、Palo Alto和Fortinet的VPN使用者，要注意所用的VPN，存在可被駭客用作APT攻擊的漏洞，他們調查已有攻擊行動擴及英國與國際組織，影響的部門很廣，包括政府、軍事、學術、商業以及醫療保健。
因此他們建議，若組織有遭入侵的疑慮，應該撤銷被盜走的憑證資料，防止攻擊者利用這些憑證進行未經授權的存取；而確定遭到APT攻擊者鎖定的組織，應重新檢查VPN的配置，包括SSH authorized_keys檔案、新的iptables規則，同時在用戶端上，應以配置備份還原這些設定。同時，他們也提醒，使用者應該為VPN服務啟用雙因素驗證，以避免受到密碼重送攻擊，而且也應該禁用不需要或未使用的功能，以減少VPN被攻擊面。更多內容

＃勒索軟體

今年美國有621個組織遭到勒索軟體攻擊，近8成為醫療服務供應商

圖片來源／擷取自Emsisoft官方部落格

資安業者Emsisoft公布美國今年前三季的勒索軟體調查報告，這份研究主要對象，包含了遭遇到勒索軟體攻擊的美國政府機構、學區及醫療服務供應商，根據他們的統計結果，顯示這9個月以來，至少有621個組織遭到勒索軟體攻擊。其中，容易躍上新聞版面的政府機關有68個，只佔十分之一左右，值得注意的是，受災最嚴重的應該是健康醫療單位，因為在今年以來，該領域已遭遇491起勒索軟體攻擊，受害者包括：Park DuValle社區醫療保健中心、牙科診所的雲端備份供應商PerCSoft，以及懷俄明州坎培爾郡的公共衛生部門。更多內容

＃勒索軟體

FBI警告：勒索軟體日益猖獗，不鼓勵支付贖金

圖片來源／擷取自FBI（點圖放大）

美國聯邦調查局（FBI）再度警告外界，要小心勒索軟體的威脅，並指出勒索軟體通常是藉由3種管道入侵組織，包括：透過電子郵件展開網釣攻擊，或是利用遠端桌面協議（RDP）漏洞及軟體漏洞。特別的是，FBI此次也提出了12項最佳防禦措施供組織參考，包括：定期備份、培養及訓練員工的安全意識、及時更新裝置的軟體/韌體、限制檔案及網路的存取權、關閉電子郵件中的Office檔案巨集能力、導入使用RDP的最佳實踐、部署虛擬環境，以及將資料根據重要性分類並分別存放等。同時，他們也強調不鼓勵受害者支付贖金，因為未必能取回資料，而且，一旦支付贖金，將讓駭客知道這是個有利可圖的商業模式。更多內容

＃帳密安全

Chrome將加入密碼外洩檢查工具

年初Google，推出可主動通知用戶密碼外洩的Chrome擴充功能Password Checkup後，現在他們將此機制整合進Google帳戶中的密碼管理員。
這項服務會偵測到使用者的用戶帳號和密碼，若包含在40多億筆外洩資料中，就會發出通知，同時還會檢查用戶將同一組密碼重覆用於多個網站中，以及用戶使用的是太短、太簡單的弱密碼，提醒用戶變更及強化密碼。另外，Google也預告這項功能今年底之前，將直接內建在Chrome中，使密碼外流的檢查更方便。更多內容

＃資安人才培育　＃CTF競賽

排名世界第一的臺大Balsn CTF戰隊，自辦首屆Balsn CTF競賽

為了提升各界對於資安的興趣，積極舉辦CTF（搶旗攻防賽）比賽，一直是提升各界對資安興趣的手段。在結合全球主要 CTF賽提供世界排名積分制度的CTF Time上，目前排名世界第一名的是臺大Balsn戰隊，成立迄今5年，主要成員是臺大Network Security Lab，以及許多對資安有熱忱的學生，為了分享過往打比賽的經驗，也希望可以引發更多人對資安的興趣，他們舉辦Balsn第一屆自辦的CTF比賽，讓大家可以和世界一流CTF戰隊交流。更多內容

＃個資外洩

Booking.com疑似個資外洩非單一案例，近半年解除分期通報破千件

圖片來源／刑事警察局

10月初，刑事警察局警告知名訂房網Booking.com，疑似個資外洩，從今年5月起就陸續接獲民眾通報，已經連續21週警示於高風險賣場名單，遠高於所有訂房類型網站（今年1月～9月），並已有228人受騙，財損金額高達3,362萬元。
對於近期值得注意的高風險賣場名單，我們也進一步詢問內政部刑事警察局，該局預防科偵查員劉昭男表示，近半年來，自今年3月至9月底止，排行前五名是MKUP美珈（408件）、小三每日（310件）、讀冊生活（229件）、Booking.com（228件）與ANDEN HUD（89件）。不過，以上榜週數來看，Booking.com以21次最多，小三每日是15次、讀冊生活是13次，雖然Booking.com通報件數並非近半年最多，但用戶遭詐騙的情況持續發生，引起警方關注，並呼籲社會大眾注意。更多內容

＃個資外洩

EZ訂個資外洩客戶遭騙判決出爐，在個資法賠償外，業者並需負起7成過失責任

今年9月，一起關於EZ訂（EZding）購票平臺個資外洩的民事判決結果出爐，經過2年訴訟與審理，現在終於有了結果。案經一審判定，業者需依個資法賠償民眾2萬元，之後又上訴，二審判定用戶遭詐欺侵權行為的損害賠償，也應付起7成責任，而最終裁定賠償18萬3,274元。而在這次判決結果當中，對於個資外洩及用戶遭詐騙的損害賠償的認定，院方對此案有更清楚的說明。例如，法院認為，原告張女已是具有相當智識的成年人，理應對此社會常見之詐騙犯罪行為產生警覺；被告富爾特公司雖抗辯盡到適當的安全防護與個資保護之責，但法院認定其網路平臺之內部及外部風險控制存有諸多缺陷，並且未能完全落實其個人資料保護的管理。因此，認為張女應負擔三成的過失責任，富爾特公司應負擔七成的過失責任。更多內容

更多資安動態
●微軟再發佈IE漏洞例外修補程式，所有版本都要安裝
●紐西蘭初級衛生組織Tū Ora遭駭客入侵，外洩100萬名用戶資料
●線上客服系統Zendesk三年前被駭直到現在才發現，近萬名使用者資料外洩
●資安研究人員發現低成本的殭屍網路MasterMana
●可在華為Mate 30手機安裝Google行動服務的操作，被臺灣研究人員揭露後下架，並研判華為知情且默許
●DNS-Over-HTTPS弊大於利？荷蘭國家網路安全中心與亞太網路資訊中心相繼提出警告